A kiberbiztonsági kockázatokat a globális gazdaság egyik legfőbb kihívásának tekintik. Az elmúlt években a kibertámadások exponenciális növekedést mutatnak, példátlan mértékű kiberkockázatot helyezve az informatikai rendszerekre. A következmények az adatvesztéstől a gyártósorok leállásáig terjednek, de közös bennük, hogy jelentős költségekkel járnak. A vállalatoknak meg kell védeniük eszközeiket, beleértve az érzékeny adatokat és a márkaimázst is.
A kiberkockázat meghatározása
A The Institute of Risk Management a kiberkockázatot úgy határozza meg, mint „bármely pénzügyi veszteség, zavar vagy a szervezet hírnevének károsodásának kockázata, amely az informatikai rendszereinek valamilyen meghibásodásából ered”.
Ezek a kockázatok jellemzően rosszindulatú szereplők által szervezett kibertámadásokból erednek, amelyek olyan hibákhoz vezetnek, amelyek veszélyeztetik a vállalatok adatainak és információs rendszereinek bizalmasságát, integritását és rendelkezésre állását.
Az elmúlt években a home office térnyerése az online tevékenységek (például a közösségi média) növekedésével együtt megsokszorozta a webes forgalmat. Ez a kibertámadások elterjedéséhez és professzionalizálódásához vezetett (pl. AI segítségével), ami számos formában jelenhet meg: kiberbűnözés, destabilizáció, szabotázs vagy akár kémkedés.
A következmények pusztítóak lehetnek:
- Kritikus adatok elvesztése;
- Üzleti tevékenység megszakadása;
- Vagyoni kár;
- Adatlopás;
- Piaci részesedés elvesztése;
- Üzleti titkok vagy bizalmas információk elvesztése;
- Zsarolás;
- Szerződésszegések;
- Termékvisszahívások;
- Értesítési költségek és egyéb incidensekre adott válaszok költségei.
Különböző típusú kiberbiztonsági kockázatok
Manapság számos kiberbiztonsági kockázat veszélyeztetheti a vállalatok információs rendszereinek biztonságát. Minél jobban megértik a szervezetek a különböző fenyegetéstípusokat, annál jobban képesek megelőzni, felkészülni és hatékonyan reagálni az incidensekre.
Kártevő szoftverek
A rosszindulatú szoftverek, vagy kártevők olyan szoftverkódot tartalmaznak, amelyet egy számítógépes rendszer vagy annak felhasználóinak károsítására írtak. Használhatatlanná tehetik a fertőzött rendszereket, megsemmisíthetik vagy ellophatják az adatokat stb. Ebbe a kategóriába tartozik a hírhedt zsarolóvírus is. Ezek a számítógépes programok az adatok titkosítását célozzák, majd pénzt követelnek a tulajdonostól a visszafejtési kulcsért cserébe.
Szociális manipuláció
Ez a technika magában foglalja a célpontok manipulálását saját vagy szervezetük információbiztonságának veszélyeztetése érdekében. Az adathalászat különösen elterjedt ezen a területen. Ezek a szociális manipulációs támadások csaló e-mailek, SMS-ek vagy hívások formájában jelentkeznek, amelyek megbízható harmadik feleknek adják ki magukat, hogy személyes adatokat vagy akár banki hitelesítő adatokat szerezzenek meg.
Szolgáltatásmegtagadás
Ezen technika célja egy weboldal, alkalmazás vagy rendszer túlterhelése, hogy lelassítsa vagy teljesen elérhetetlenné tegye a felhasználók számára. Ebben az esetben a kiberbűnözők szoftveres- vagy hardveres sebezhetőségeket használnak ki, majd azon keresztül kimerítik az adott információs rendszer erőforrásait.
Roncsolás
Ez a támadástípus egy weboldal megjelenésének vagy tartalmának módosítására összpontosít, ezáltal veszélyeztetve az oldal integritását. A kiberbűnözők jellemzően a célzott webhely sebezhetőségeit használják ki.
Ezek csak a főbb kibertámadások, de további tucatnyi létezik: jelszótámadások, célzott adathalászat, drive-by letöltések stb. A kulcs a létezésük és a hatékony ellensúlyozás mechanizmusainak megértése.
4 lépés a kiberbiztonsági kockázatok kezeléséhez
A vállalatoknak a kiberbiztonságot a teljes kiberkockázati életciklus során biztosítaniuk kell. Ehhez az elemzés, a proaktivitás és a reagálóképesség ötvözése szükséges a legjobb gyakorlatok megvalósításán keresztül.
1. Kiberkockázatok elemzése
Kezdetben a vállalatnak azonosítania kell az összes olyan fenyegetést és sebezhetőséget, amely közvetlenül vagy közvetve hatással lehet rá. Ez magában foglalja a teljes környezet alapos vizsgálatát és a „jelentős” tevékenységek azonosítását. Ez a kockázatértékelés magában foglalhatja a stratégiai célokat, az adatvédelmet, a szabályozási megfelelést stb. Minden egyes sebezhetőség részletes leírást kap (következmények, valószínűségek, érintett személyek stb.), mielőtt a kiberbiztonsági csapatok értékelnék azt a döntés meghozatala érdekében.
2. Minden egyes eset egyedi kezelése
Ezután a vállalat az elemzéshez igazított intézkedéseket tesz. Dönthet például úgy, hogy
- elfogadja a kiberkockázatot,
- csökkenti annak lehetséges hatását,
- kiküszöböli azt, vagy
- biztosítást köt az adott eseményre.
Gyakran a megelőzés a kulcsszó. A kiberkockázat előrejelzése a bekövetkezése előtt hatékony biztonsági szoftverek, például víruskereső programok, tűzfalak stb. használatát jelenti. A vállalat biztonsági szabályzatokat is bevezethet az érzékeny adatok védelme érdekében, például összetett jelszavak használatával vagy adatok titkosításával.
3. Kommunikáció az érdekelt felekkel
A kiberbiztonsági kockázatkezelésben a kommunikáció elengedhetetlen, mind belső, mind külső téren. Ez magában foglalja az egyéni felelősségek kijelölését, a felsővezetés tájékoztatását, a partnerek támogatását ebben a megközelítésben, és ami a legfontosabb, az alkalmazottak tudatosságának növelését.
Ez az utolsó pont létfontosságú, mivel az alkalmazottak gyakran a kibertámadások frontvonalában vannak. Az IBM szerint a kiberbiztonsági és adatvédelmi incidensek 90%-a emberi hibának tulajdonítható. Ezért elengedhetetlen a csapatok rendszeres IT-biztonsági képzése, biztosítva, hogy megértsék a tétet és alkalmazzák a belső szabályzatokat.
Tanácsok François-Gérard Bouy-tól, a Labrador PR- és kommunikációs tanácsadó cég operatív igazgatójától
„Pénzügyi igazgatóként kiemelt célpontnak tartom magam, mivel nálam vannak a trezor kulcsai. Nagyon óvatos vagyok, és preventív megközelítést alkalmazok a munkatársaimmal a tudatosság növelése érdekében, egyszerűen azzal, hogy például azt mondom nekik, hogy soha ne utaljanak át pénzt, de ha mégis ilyet kérnék, hívjanak vissza, és kérjenek megerősítést. Ezek apró gesztusok, amelyek megmenthetnek egy vállalatot, mert volt már olyan, hogy egy cég csődbe ment a támadások miatt.„
4. Kiberkockázatok hosszú távú monitorozása
Végül, a biztonsági intézkedéseket folyamatosan monitorozni kell a kockázatok kezelése és enyhítése érdekében. Ez különösen fontos a vállalati fejlesztések során: új eszközök, új tevékenységek, új kockázatok, új fenyegetések stb. Ezért fontos a kiberkockázat-kezelést a folyamatos fejlesztés keretébe foglalni. Ez magában foglalja a biztonsági intézkedések frissítését és adaptálását ezen új paraméterek alapján.
Kiberkockázati kihívások a beszerzésben
A beszerzési osztályok különösen aggódnak a kiberkockázatok miatt, mivel ezek a vállalat ökoszisztémájának középpontjában állnak. Biztosítaniuk kell a kiberkockázatok ellenőrzését a részlegükön belül, és ki kell terjeszteniük azt beszállítóikra is. Egy nemrégiben végzett PwC-felmérés szerint a döntéshozók 90%-a aggódik a kiberfenyegetések miatt, 27%-uk pedig azt mondja, hogy már áldozatul esett valamilyen incidensnek.
Ez két fő kihívást vet fel a beszerzési osztályok számára a termelékenység és a versenyképesség tekintetében.
Termelékenység: A beszerzési osztályok egyre inkább digitális megoldásokat használnak a napi működésükhöz (megrendelések leadása a beszállítóknak, elektronikus aláírások stb.). Ha ideiglenesen megfosztják őket ezektől, az elkerülhetetlenül hatással lesz a vállalat és partnerei tevékenységére.
Versenyképesség: A beszerzési osztályok rengeteg különböző adattal dolgoznak, amelyekre a kiberbűnözők vágyhatnak (tervek, árak, elérhetőségek, banki adatok). Ha ezek az adatok elvesznek vagy megsérülnek, az hatalmas károkat okozhat.
Az üzleti életben mindannyian felelősek vagyunk az adat- és rendszerbiztonságért. Ezért szükséges a kiberkockázatok megelőzése minden szervezeti szinten, minden funkcióban. Ahhoz, hogy ez hatékony legyen, az informatikai csapatoknak együtt kell dolgozniuk más részlegekkel, bizonyos esetekben pedig be kell vonni a partnereket is.
